20.000 betroffene Unternehmen in der EU stehen vor der Herausforderung binnen zwei Jahren die regulatorischen Anforderungen des Digital Operations Resilience Act (DORA) umzusetzen. Der hohe Umsetzungsdruck ergibt sich vor allem daraus, dass in der heutigen Bedrohungslage oft nicht mehr die Frage ist ob, sondern wann Cyberangriffe auf die Systeme eines Unternehmens stattfinden. Insbesondere im Finanzdienstleistungssektor bewirkt der hohe Digitalisierungsgrad zusammen mit der kritischen wirtschaftlichen Bedeutung diesbezüglich einen akuten Handlungsbedarf, um die notwendige Widerstandsfähigkeit sicherzustellen.
Mit DORA erfährt diese Risikosituation nun eine explizite Adressierung durch Regulierungsbehörden und ergänzt die bisher bestehenden aufsichtlichen Anforderungen an die IT (BAIT, VAIT und ZAIT) der BaFin. Zumal viele Unternehmen noch mit Hochdruck an der Umsetzung dieser nationalen Vorgaben arbeiten, stellen die neuen europäischen Richtlinien auch prozessual eine besondere Herausforderung dar. Eine entschlossene und vorausschauend strukturierte Umsetzung kann jedoch auch als Chance zur Konsolidierung und Vereinheitlichung des bisherigen Regularien-Dickichts z.B. von MaRisk/BAIT, MaGo/VAIT oder EBA-Guidelines werden.
Ganz im eigenen Interesse der Unternehmen bedeuten die DORA-Maßgaben aber vor allem eine zukunftsorientierte Stärkung der Widerstandsfähigkeit von Finanzdienstleistern hinsichtlich kritischer Bedrohungen für deren Informations- und Kommunikationstechnologie (IKT) durch folgende Kernaspekte.
Damit wird ein konsistenter Rahmen geschaffen, um Cyberangriffen bestmöglich vorzubeugen und auch auf jeder Stufe von einem Störfall über einen Ernstfall bis hin zu einem Katastrophenfall die Fortführung oder Wiederherstellung des Geschäftsbetriebs sicherzustellen. Die Herstellung dieser grundlegenden Absicherung sollte zur wirtschaftlichen Selbsterhaltung in den kommenden zwei Jahren bis zum Inkrafttreten von DORA hohe Priorität im Projektgeschehen eingeräumt werden.
Aufgrund langjähriger Erfahrungen bei der digitalen Transformation im Finanzdienstleistungssektor raten wir daher zur frühzeitigen Auseinandersetzung mit der Thematik und bereits jetzt mit den folgenden Umsetzungsaktivitäten zu starten.
Resilienz im eigenen digitalen und operationellen Betrieb analysieren
Gaps zu bekannten DORA-Anforderungen identifizieren
Aufwände, Investitionen und Budgetbedarfe antizipieren
Initiale Maßnahmen bestimmen und einleiten
Kontakt zu Drittanbietern hinsichtlich der gemeinsamen Thematik herstellen
Besonders im digitalen Sektor ist immer viel zu tun, aber die akute Bedrohungslage mahnt, vor allem beim Thema DORA keine unnötige Zeit zu verlieren. Dies sollte allerdings auch verstanden werden als unzweifelhafte Chance, das eigene Unternehmen in Bezug auf Cybersicherheit und Widerstandsfähigkeit für die Zukunft sturmsicher zu machen.
Sehr gerne unterstützen wir Sie bei der effizienten Nutzung dieser Chance oder tauschen uns auch gerne allgemein mit Ihnen zum Thema aus, wenn Sie Fragen haben. Kontaktieren Sie uns gerne.